La Commission européenne publie une proposition de loi sur la cyber-résilience

Arrière plan

Le 15 septembre 2022, la Commission européenne a présenté sa proposition de règlement sur les exigences horizontales en matière de cybersécurité pour les produits contenant des éléments numériques (le « Cyber ​​Resilience Act »). Selon la Commission européenne, la loi sur la cyber-résilience sera la première législation à l’échelle de l’UE introduisant « des exigences de cybersécurité pour les produits contenant des éléments numériques, tout au long de leur cycle de vie ».

Nouvelles exigences de cybersécurité pour les organisations

S’il est approuvé, le Cyber ​​​​Resilience Act apportera des exigences de cybersécurité obligatoires et à l’échelle européenne pour concevoir, développer, produire et mettre sur le marché des produits sécurisés avec des éléments numériques, notamment:

  • Concevoir, développer et produire des produits de manière à garantir un niveau de cybersécurité approprié en fonction des risques ;
  • Fournir des produits sans aucune vulnérabilité exploitable connue ;
  • Protéger la confidentialité et l’intégrité des données stockées, transmises ou autrement traitées ;
  • Traiter uniquement les données adéquates, pertinentes et limitées à ce qui est nécessaire par rapport à l’utilisation prévue du produit ;
  • S’assurer que les vulnérabilités peuvent être corrigées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour automatiques et la notification des mises à jour disponibles aux utilisateurs ; autre
  • Respecter des règles spécifiques de traitement des vulnérabilités.

Le Cyber ​​Resilience Act prévoit également de nouvelles obligations déclaratives pour les industriels. En vertu du Cyber ​​Resilience Act, toute vulnérabilité activement exploitée ou tout incident ayant un impact sur la sécurité du produit doit être notifié à l’Agence de l’Union européenne pour la cybersécurité (« ENISA ») dans les 24 heures suivant la prise de connaissance par le fabricant. Les utilisateurs doivent également être informés sans retard injustifié et des mesures correctives pour atténuer l’impact de la vulnérabilité doivent être suggérées.

Le plus grand nombre d’obligations au titre du Cyber ​​Resilience Act incombent aux fabricants. Toutefois, les mandataires, les importateurs et les distributeurs auront également de nouvelles responsabilités. En particulier, de nouvelles obligations incomberont aux importateurs et distributeurs s’ils mettent un produit sur le marché sous leur nom ou leur marque, ou modifient substantiellement le produit.

Outre les produits classiques à éléments numériques, le Cyber ​​Resilience Act considère certains produits comme des « produits critiques à éléments numériques » dont, entre autres, les navigateurs Internet, les logiciels antivirus, les systèmes d’exploitation, les systèmes d’automatisation et de contrôle industriels et les microprocesseurs. Ces produits sont soumis à des procédures d’évaluation de la conformité plus strictes. Une autre catégorie pour les « produits hautement critiques contenant des éléments numériques » peut également être établie par la Commission européenne, pour laquelle les fabricants peuvent être tenus d’obtenir un certificat européen de cybersécurité dans le cadre d’un système européen de certification de cybersécurité conformément à la loi européenne sur la cybersécurité.

pénalités

Le non-respect du Cyber ​​Resilience Act peut entraîner des sanctions sévères :

  • Les infractions aux exigences essentielles de cybersécurité énoncées à l’annexe I et aux obligations des fabricants (y compris les obligations de déclaration) énoncées aux articles 10 et 11 peuvent entraîner des amendes administratives pouvant aller jusqu’à 15 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2,5 millions d’euros. % de son chiffre d’affaires annuel mondial total pour l’exercice précédent, selon le plus élevé.
  • La fourniture d’informations incorrectes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché peut entraîner des amendes administratives pouvant aller jusqu’à 5 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total pour l’exercice précédent, celui qui est le plus élevé.
  • D’autres violations des exigences de la loi sur la cyber-résilience peuvent entraîner des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total pour l’exercice précédent, selon la valeur retenue. plus haut.

Les États membres peuvent également établir des sanctions supplémentaires qui doivent être effectives, proportionnées et dissuasives.

En outre, les autorités de surveillance du marché (et, dans des cas exceptionnels, la Commission européenne) peuvent ordonner la mise en conformité, le retrait du marché ou le rappel de produits non conformes. La coopération entre les autorités de surveillance du marché est également encouragée par un cadre d’activités conjointes et d’actions de contrôle coordonnées simultanées (c’est-à-dire des ratissages).

prochaines étapes

En cas d’approbation par le Parlement européen et le Conseil dans sa formulation actuelle, les organisations auront deux ans pour s’adapter aux nouvelles exigences, à l’exception des règles concernant le signalement des vulnérabilités et des incidents, qui entreront en vigueur un an après la cyber-résilience. La loi entre en vigueur.

Lire la proposition et ses annexes.